機械翻訳について

ランタイム構成の変更

ランタイム構成オプションは、/etc/fapolicyd/fapolicyd.confで設定されます。 オプションの詳細は、fapolicyd.conf(6)マニュアル・ページを参照してください。 詳細は、https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.mdも参照してください。

ランタイム統計レポートの構成

デフォルトでは、fapolicydは、アクセス、拒否およびキャッシュ・パフォーマンスに関する有用な情報を提供するランタイム統計レポートを生成します。 レポートの情報を使用して、構成オプションを微調整するか、ファイル・アクセスの問題を診断します。

このレポートを制御するために設定できる構成オプションは次のとおりです:

do_stat_report

統計レポートを生成するかどうかを制御します。 統計レポートを無効にするには、この値をデフォルトの1から0に変更します。

detailed_report

特定のサブジェクト・オブジェクト・イベントが発生する回数を示す、使用統計レポートにサブジェクトおよびオブジェクト情報を追加するかどうかを制御します。 この内容はデバッグ時に役立ちますが、ログのサイズを減らす際は無効にできます。 このオプションのデフォルト値は1に設定され、このオプションが有効であることを示します。

レポートは、fapolicydサービスが停止されると/var/log/fapolicyd-access.logで生成されます。 レポートの内容は、次のようになります: 

Permissive: false
q_size: 640
Inter-thread max queue depth 6
Allowed accesses: 668513
Denied accesses: 0
Trust database max pages: 25600
Trust database pages in use: 7567 (29%)

File access attempts from oldest to newest as of Wed Nov 15 16:46:59 2023

        FILE                                                ATTEMPTS
---------------------------------------------------------------------------
/var/tmp/dracut.kZVhRg/initramfs/usr/lib/kbd/keymaps/xkb/tr-alt.map.gz  1
/var/tmp/dracut.kZVhRg/initramfs/usr/lib/kbd/unimaps/koi8u.uni  1
/var/tmp/dracut.kZVhRg/initramfs/usr/bin/stgTP4DF               1
...
/usr/bin/mandb (?)                                              1
/usr/bin/mandb (?)                                              264
---

Subject cache size: 1549
Subject slots in use: 1549 (100%)
Subject hits: 666964
Subject misses: 46044
Subject evictions: 44495 (6%)

ロギング制御

監査ロギングは主に監査ログのfanotifyイベントを使用して処理されますが、システム・ログに記録するようにポリシーを構成することもできます。 「デフォルトのポリシー・ロギングの変更」「許可モードでの対話型デバッグ」および「許可モードでの拒否イベントの監査」を参照してください。

システム・ログに記録する場合、またはデバッグ・モードでfapolicydを実行している場合は、syslog_formatオプションを構成することによって、アクセス決定からのログ出力の内容を制御できます。 形式は、様々な値のカンマ区切りリストで、コロン文字を使用して区切られたサブジェクトおよびオブジェクト情報を含むルール情報を示します。 システム・パフォーマンスは、ログに記録する内容の量に影響を受けることに注意してください。 デフォルト値はrule,dec,perm,auid,pid,exe,:,path,ftype,trustです。

syslog_formatオプションで使用できる値は次のとおりです:
  • rule: コンパイルされたポリシー・ルールのルール番号。 「ポリシー・ルールのリスト」を参照してください。
  • dec: fapolicydがルールに対して行う決定。
  • perm: ルールに適用される権限。
  • サブジェクト・オプションのいずれか。
  • :: サブジェクト・オプションとオブジェクト・オプションを区切るセパレータ。
  • オブジェクト・オプションのいずれか。
サブジェクト・オプションおよびオブジェクト・オプションの詳細は、「ポリシー・ルールの作成」を参照してください。

パフォーマンス制御

パフォーマンス制御オプションは、メモリー使用量および処理の向上に役立ちます。

パフォーマンスを向上させるためにfapolicydによって使用されるキャッシュのサイズを制御するために、次のオプションを使用できます:

subj_cache_size
サブジェクト・キャッシュが保持するエントリの数を制御します。 デフォルト値は「1549」です。
obj_cache_size
オブジェクト・キャッシュが保持するエントリの数を制御します。 デフォルト値は「8191」です。

どちらのオプションでも、割り当てられているメモリーを可能なかぎり小さくし、削除に対するヒットの比率を最大化するために十分なメモリーがキャッシュに割り当てられるようにします。 この比率は、統計レポートから計算できます。

競合によるキャッシュ・チャーンを回避するには、キャッシュ・サイズの値を素数に設定することを検討してください。